Cosa ci insegna il caso Geox?

L’attacco hacker Geox, che ha colpito una multinazionale in grado sicuramente di avere protezioni informatiche d’avanguardia, rispetto a molte altre aziende del territorio, questo fa suonare un campanello d’allarme per il mondo produttivo Veneto, e non solo. Si moltiplicano infatti i casi di frodi di questo tipo: pirati informatici si inseriscono nei sistemi operativi aziendali, sottraggono tutti i dati e li bloccano.

I pirati informatici che hanno messo in piedi attacco hacker Geox, hanno paralizzato l’azienda chiedendo una cifra di riscatto relativamente bassa: questa è una strategia per convincere le aziende a pagare. Ogni giorno di chiusura, si stima possa far perdere all’azienda fino ad un paio di milioni di euro. Ecco perché chiedere 8.500 euro: una somma che in fondo è minimale rispetto al danno della chiusura, piccole somme, tanti attacchi. La difesa informatica è sempre più cruciale per le aziende del territorio.

Ecco cosa ci insegna questo nuovo attacco e i consigli per mettere in sicurezza il patrimonio informativo aziendale

In questo nuovo attacco, il malware (di cui non si conoscono ancora i dettagli tecnici) ha colpito il server di posta elettronica dell’azienda trevigiana leader del settore calzaturiero, impedendo di fatto tutte le comunicazioni interne. Ciò ha bloccato l’intera produzione, la logistica e l’e-commerce, tanto da costringere il management a lasciare a casa molti dipendenti.

Le e-mail possono contenere allegati malevoli, è dunque opportuno che le aziende adottino le necessarie contromisure per proteggere i loro sistemi e il prezioso patrimonio informativo dai ransomware sempre più sofisticati.

  • Assicurarsi che tutti i dispositivi endpoint abbiano un livello di sicurezza avanzato, come soluzioni anti-exploit e EDR.
  • Verificare che siano presenti soluzioni di controllo dell’accesso al network e preferibilmente l’autenticazione a due fattori.
  • Utilizzare un sistema di Network Access Control per ispezionare e bloccare i dispositivi che non soddisfano i criteri di sicurezza.
  • Segmentare la rete in zone di sicurezza per prevenire la diffusione di una minaccia e legare i controlli di accesso alla segmentazione dinamica.
  • Assicurarsi che il recupero dati da un attacco ransomware faccia parte del proprio piano di Business Continuity e Disaster Recovery, identificare il team di recovery, eseguire le esercitazioni e preassegnare le responsabilità in modo che i sistemi possano essere ripristinati rapidamente in caso di una violazione riuscita.
  • Adottare un piano di Disaster Recovery offsite.
  • Assicurarsi che le soluzioni CDR (Content Disarm and Recovery) siano in grado di disattivare allegati malevoli.
  • Prevenire le applicazioni SaaS (Software as a Service) non autorizzate con una soluzione Cloud Access Security Broker (CASB) o di Application protection a livello di Network Security
  • Utilizzare strumenti di analisi forense per identificare la provenienza di un’infezione, la sua durata nell’ambiente e assicurarsi di averla rimossa da ogni dispositivo.
  • Raccogliere rapidamente le informazioni sulle minacce e gli attacchi attivi sulle reti e agire tempestivamente, utilizzando l’automazione, ove possibile. Questo è fondamentale per fermare un attacco avanzato ed evitare che progredisca.
  • È fondamentale, infine, che le aziende rivedano la loro strategia per il lavoro da remoto adottando policy di sicurezza più approfondite e apportando i necessari interventi tecnologici e strutturali.